Carnet de notes

Catégorie : Vie privée

  • Un serveur email chif­fré

    J’amorce mon départ de Gmail, dans la lignée de la reprise de contrôle sur mes données. Le problème avec les emails c’est qu’on est dans un écosys­tème où tout est échangé en clair.

    J’ai aban­donné l’idée de conver­tir tout le monde à GPG. En fait j’ai même aban­donné l’idée de m’y conver­tir moi-même. J’ai long­temps eu des clefs expo­sées sur mes profils en ligne et malgré un réseau très geek sensible à ces ques­tions, je crois que je n’ai jamais reçu un seul email chif­fré.

    Bref, vous échan­gez les emails en clair avec l’ex­té­rieur et vous ne pour­rez rien faire contre ça. Vous pouvez cepen­dant chif­frer vos archives et tout email dès sa récep­tion. C’est ce que font Proton­mail, Tuta­nota et Mail­den.

    Mail­den ce sont des versions modi­fiés de Post­fix et Dove­cot qui chiffrent et déchiffrent les emails à la volée pour vous. Le serveur a donc accès à vos clefs quand vous vous y connec­tez mais promet de les oublier dès que la connexion prend fin. L’avan­tage c’est que de votre point de vue vous avez un serveur email tout ce qu’il y a de plus clas­sique.

    Proton­mail et Tuta­nota gèrent eux un vrai chif­fre­ment de bout en bout. Le serveur ne voit jamais passer votre clef de déchif­fre­ment. Seul vous pour­rez lire vos email une fois qu’ils ont été chif­frés. En échange il vous faudra des appli­ca­tions email spéci­fiques ou un proxy de déchif­fre­ment inter­mé­diaire.

    Aucun des deux modèles n’est parfait. Tuta­nota me tente mais ça reste assez spar­tiate et j’ai peur que leur approche de la recherche m’em­pêche d’y indexer toutes mes archives. Disons que ça sera à tester avant de s’en­ga­ger.

    Mail­den pour­rait être une option mais si c’est pour faire confiance au serveur lors de la récep­tion des emails, lors de l’en­voi des email, lors de chaque accès, et que contacts comme calen­driers devront être gérés tota­le­ment en clair chez un autre héber­geur…

    … Je commence à me deman­der si tout ça vaut le coup et si je ne devrais pas juste sous­crire à la gamme complète chez Fast­mail. Ce ne sera pas chif­fré mais c’est un bon choix et je leur fais confiance pour ne pas exploi­ter mes données privées. Ce pour­rait être un compro­mis perti­nent le temps que Tuta­nota et les offres simi­laires soient un peu plus abou­ties.

    Pourquoi pas Proton­mail plutôt que Tuta­nota ?

    Sécu­rité : Tuta­nota chiffre les contacts et le sujet des emails, pas Proton­mail. Tuta­nota propose aussi ses appli­ca­tions clientes en open source, ce qui apporte un peu plus de garan­tie ou permet d’hé­ber­ger soi-même le webmail.

    Utili­sa­tion : Proton­mail a la bonne idée d’of­frir un proxy pour utili­ser un vrai client email sur le poste fixe mais en échange l’app mobile ne saura pas faire de recherche dans le contenu des emails, ce qui me parait un défaut très sérieux.

    Prix : Au delà de 5 Go, Proton­mail est prohi­bi­tif. On parle de 1€ le Go par mois.

    Pour mon usage, avec un gros quota et un usage mobile complet, le choix est vite fait.

  • L’an­cien CEO WhatsApp en cheva­lier blanc

    Des fois j’ai vrai­ment l’im­pres­sion qu’on nous prend pour des imbé­ciles.

    Notre CEO mont un service en faisant appel à des fonds de capi­tal risque. On parle de dizaines ou centaines de millions d’eu­ros quand même.

    En public il promet un service quasi gratuit, sans publi­cité, sans exploi­ta­tion commer­ciale des données utili­sa­teur, consi­dé­rant que c’est l’ADN même du service.

    C’est beau, c’est blanc, c’est propre, mais il sait pour­tant très bien qu’il va falloir non seule­ment finan­cer l’ex­ploi­ta­tion du service mais en plus rembour­ser les capi­taux risque. En gros il espé­rait juste avoir revendu et quitté le navire avant que quelqu’un ne doive rompre la promesse initiale.

    En reven­dant le service 19 milliards à Face­book, il devait bien se douter qu’il faudrait renta­bi­li­ser un mini­mum l’in­ves­tis­se­ment, que ce n’était pas un don cari­ta­tif. Connais­sant Face­book, il était évident que le service serait gratuit, que ce seraient les promesses liées à la publi­cité et aux données person­nelles qui seraient rompues.

    Sauf à être tota­le­ment naif et un peu idiot (et je ne le crois pas), il savait tout cela. Alors quand il claque publique­ment la porte de Face­book en se posant en cheva­lier blanc qui résiste contre la publi­cité et les problèmes de vie privée, j’ai l’im­pres­sion que c’est un peu nous qu’on prend pour des imbé­ciles.

  • [Retour sur vécu] Casino va permettre aux annon­ceurs de piocher dans ses 50 millions de profils cross-devices

    Plutôt discret jusque-là dans la bataille qui oppose les géants du retail français aux Gafa, le groupe Casino passe à l’of­fen­sive. Le groupe de distri­bu­tion français vient d’an­non­cer le lance­ment d’une plate­forme data bapti­sée rele­vanC dans laquelle les annon­ceurs pour­ront consul­ter « la base de données la plus massive, complète et quali­ta­tive sur les consom­ma­tions des Français, leurs inten­tions et compor­te­ments d’achat ». La plate­forme propo­sera à terme près de 50 millions de profils et 1 100 segments d’au­dience.

    Jour­nal Du Net

    Entre ça et Gravity, C’est un peu la course à « regarde, moi aussi je sais mettre fin en masse à la vie privée des gens ».

    Ça me rappelle des discus­sions avec des entre­pre­neurs dans des solu­tions marke­ting. Naïve­ment j’ai fait remarquer une ou deux fois que les données récol­tées leur permet­traient au mieux une analyse statis­tique sur des visites.

    On m’a répondu, sourire en coin, qu’il existe des services qui complètent les profils à partir de données incom­plètes ou anonymes. Il suffit d’une IP, d’un iden­ti­fiant de tracker web, parfois d’un nom avec une donnée supplé­men­taire. On vous renvoie un profil complet, souvent avec iden­tité et coor­don­nées, mais aussi les habi­tudes, les caté­go­ri­sa­tions, les inté­rêts person­nels.

    C’est visi­ble­ment un secret de poli­chi­nelle, et si j’ima­gine que ce n’est pas parfait, ça semble suffi­sant et assez fiable pour inves­tir dans du marke­ting.

    Parfois les coor­don­nées ne sont pas parta­gées : Il faut deman­der l’en­voi du mailing au déten­teur des données. Sur le papier c’est un peu mieux mais ça n’ap­porte en réalité aucune protec­tion. C’est unique­ment pour rester en inter­mé­diaire et moné­ti­ser plus long­temps vos données person­nelles.

    * * *

    Rien qu’en écri­vant ces souve­nirs, je me rappelle qu’une société pour laquelle je travaillais indi­rec­te­ment reven­dait les coor­don­nées de livrai­son, noms, adresse, âge et email de ses clients. Malaise quand je l’ai appris via une connais­sance et un spam du loueur de la base (coucou Loca­dresses).

    Quand je l’ai fait remon­ter naïve­ment, ils se sont préoc­cu­pés des pratiques de spam de leur loueur. Tel que je l’ai inter­prété, ils voulaient surtout éviter que n’im­porte qui reçoive en spam le fait qu’ils relouent les coor­don­nées de leurs clients. Revendre ces infor­ma­tions ne leur faisait par contre visi­ble­ment ni chaud ni froid.

  • J’ef­face mes traces

    Il y a désor­mais 5 ans que j’ef­face mes traces.

    J’avais fait un petit billet pour expliquer que j’ef­façais mes tweets après 48h. Je l’ai fait un temps mais via des scripts lancés à la main, pour garder le contrôle. Je l’ai fait de façon irré­gu­lière, puis plus du tout pendant un temps.

    La moti­va­tion n’a toute­fois pas chan­gée.

    Je m’y remets avec un script un peu plus évolué qui devrait à terme pouvoir être lancé en auto­ma­tique (quand j’au­rais un peu plus confiance). Désor­mais la plupart de mes tweets pour­ront être suppri­més au bout d’une dizaine de jours.

    Si j’ai le courage j’éten­drai ça à Masto­don et aux autres réseaux. Plus géné­ra­le­ment, tout ce qui n’est pas dans un espace que je contrôle person­nel­le­ment est poten­tiel­le­ment amené à dispa­raitre. Ce qui m’im­porte est géné­ra­le­ment retrans­crit sur le site que vous êtes en train de lire.

  • Hamon et la vie privée

    Oui, j’ai eu un mouve­ment de recul à la lecture de ce vieux tweet de 2014, comme proba­ble­ment tous les geeks. J’avoue que pour un candi­dat soutenu publique­ment par Edward Snow­den, c’était éton­nant.

    J’in­vite toute­fois à repla­cer dans le contexte. Benoit Hamon parle de Nico­las Sarkozy, scan­da­lisé qu’on ait pu l’in­ter­cep­ter dans le cadre d’écoutes judi­ciaires.

    D’un coup ça change un peu la portée de la phrase. Le contexte est « se savoir écouté dans le cadre d’une enquête judi­ciaire justi­fie de prendre un second télé­phone sous un faux nom ? ». Il ne s’agit (proba­ble­ment) pas d’une décla­ra­tion géné­rale reje­tant la notion de vie privée mais d’un soutien aux insti­tu­tions judi­ciaires et aux procé­dures qui en découlent. La phrase est certai­ne­ment maladroite, surtout hors contexte, mais qui ici aurait contesté ce soutien ?


    Benoit Hamon : « il n’y a pas de problème à être… par LeLab_E1

    Ne lais­sons pas le moindre doute. Deman­dons-lui quelle est sa posi­tion par rapport à la surveillance géné­ra­li­sée. Conti­nuons tant que nous n’avons pas de réponse claire. Par contre, entre temps, évitons de sortir des petites phrases hors de leur contexte pour faire des effets de manche.

    Mise à jour pour ceux qui veulent être convain­cus : Le même jour­na­liste à l’ori­gine de la cita­tion de départ qui rappelle désor­mais les gens au contexte de l’époque :

  • [Lecture] The Real Name Fallacy

    Not only would remo­ving anony­mity fail to consis­tently improve online commu­nity beha­vior – forcing real names in online commu­ni­ties could also increase discri­mi­na­tion and worsen harass­ment.

    The Coral Project (Mozilla)

  • Cove­red with tape

    Parce que les bouts de scotch c’est impor­tant quand on tient à sa vie privée. Peut-être que ça en fera réflé­chir certains qui pensent que tout ça est de la para­noïa.

  • Kaza­kh­te­le­com JSC noti­fies on intro­duc­tion of Natio­nal secu­rity certi­fi­cate from 1 January 2016

    By words of Nurlan Meir­ma­nov, Mana­ging direc­tor on inno­va­tions of Kaza­kh­te­le­com JSC, Inter­net users shall install natio­nal secu­rity certi­fi­cate, which will be avai­lable through Kaza­kh­te­le­com JSC inter­net resources. « User shall enter the site www.tele­com.kz and install this certi­fi­cate follo­wing step by step instal­la­tion instruc­tions”- under­li­ned N.Meir­ma­nov.

    — Tele­com.kz (dépu­blié, voir la version en cache)

    Première réac­tion : Oh la dicta­ture !

    Seconde réac­tion : Chez nous c’est déjà le cas. Notre gouver­ne­ment contrôle une auto­rité de confiance instal­lée dans tous les gros navi­ga­teurs du marché. Pire : Ils l’ont déjà utili­sée pour faire du man in the middle.

    On peut se récon­for­ter en se disant que l’in­ten­tion n’a jamais été délic­tueuse, mais au final la capa­cité est là. Il y a déjà eu déra­page et vu le climat actuel, il n’y a pas vrai­ment lieu d’avoir beau­coup plus confiance que dans le Kaza­khs­tan sur ce point là. Plus récem­ment, l’État français demande aussi accès aux codes sources et archi­tec­tures des héber­geurs et des four­nis­seurs d’ac­cès. On pour­rait ajou­ter que nous sommes déjà un des leaders mondiaux sur les solu­tions commer­ciales de surveillance à l’échelle de pays.

    Plutôt que de se moquer, nous devrions avoir honte de montrer l’exemple. Le Kaza­khs­tan est juste en retard sur nous.

  • Consul­ta­tion Répu­blique Numé­rique – parti­ci­per

    Il y a plein de choses à dire sur la consul­ta­tion actuelle de Répu­blique Numé­rique. Proba­ble­ment que l’ef­fet sera minime, que le prin­cipe même est contes­table, mais au moins on ne pourra pas nous repro­cher de ne pas avoir joué le jeu. Essayons une fois. Il ne reste que deux jours pour cela, c’est urgent.

    C’est long, il y a des milliers de propo­si­tions et de votes possibles. Pour guider il suffit de regar­der les inter­ven­tions et votes des asso­cia­tions et groupes qui vont dans le bon sens. Pas pour voter les yeux fermés, mais pour voir le premier filtre qu’ils ont fait, souvent voter pareil, parfois s’abs­te­nir, excep­tion­nel­le­ment être en désac­cord. Gardez votre propre sens critique en toute occa­sion. Voici ma liste de profils à explo­rer (bien aller jusqu’en bas des pages où il y a aussi les votes) :

    De manière inté­res­sante, ça fonc­tionne aussi dans l’autre sens si vous trou­vez des repous­soirs : Person­nel­le­ment j’ai par exemple le syndi­cat natio­nal de l’édi­tion (SNE), qui en lui-même est très impor­tant mais qui se à toujours prendre des posi­tions pour l’ex­ten­sion du droit d’au­teur et contre la libre circu­la­tion.

    Bien entendu, vous pouvez aussi aller plus vite vu que j’ai déjà fait la collecte de tout ça en regar­dant direc­te­ment mes propres votes et inter­ven­tions. Ça évite de cliquer plusieurs fois sur le même lien si diffé­rents acteurs sont inter­ve­nus dessus. Par contre vous pouvez manquer les quelques rares inter­ven­tions où je me suis abstenu de voter parce que quelque chose me gênait (ou parce que je n’avais pas le recul néces­saire pour avoir un avis assez intel­li­gent).

    Il y aussi un docu­ment réca­pi­tu­la­tif de quelques points prin­ci­paux réalisé par quelques unes des asso­cia­tions citées, et quelques autres qui n’ont pas parti­cipé direc­te­ment sur Répu­blique Numé­rique. Vous trou­ve­rez aussi le docu­ment de LQDN, celui du CNN, et la sélec­tion de Tris­tan Nitot.

  • TLS et vie privée

    Pour répondre à David :

    TLS does not provide privacy. What it does is disable anony­mous access to ensure autho­rity. It changes access patterns away from decen­tra­li­zed caching to more centra­li­zed autho­rity control.
    That is the oppo­site of privacy. […] TLS is NOT desi­rable for access to
    public infor­ma­tion, except in that it provides an ephe­me­ral form of message inte­grity that is a weak repla­ce­ment for content inte­grity.

    Je suis convaincu que ces gens ont réflé­chi à la ques­tion plus long­temps et plus sérieu­se­ment que moi, mais je ne peux m’em­pê­cher de poser les ques­tions :

    Parler de vie privée c’est parler de confi­den­tia­lité. Vis à vis de qui ? De même, à partir de quand parle-t-on d’ano­ny­mat ?

    Consi­dé­rer que TLS est inutile pour accé­der à une infor­ma­tion publique me semble très étrange. La confi­den­tia­lité n’est pas dans le fait que cette infor­ma­tion soit publique, mais à ce que je consulte ou ce que j’en­voie dans le détail.

    Savoir que j’ac­cède à Face­book est une chose. Savoir quel profil j’uti­lise et ce que j’écris en est une autre, quand bien même les textes en ques­tions sont ne sont pas d’ac­cès restreint. Je ne souhaite pas forcé­ment que l’uni­ver­sité de mon fils puisse lire ce qu’il y écrit via le WIFI local.

    Savoir que j’ac­cède à Wiki­pe­dia est une chose. Savoir que les pages que j’y lis parlent de certains problèmes de sexua­lité en est une autre. Je ne souhaite pas forcé­ment que mon employeur puisse savoir ce que j’y lis pendant ma pause de midi.

    Savoir que je consulte la presse est une chose. Savoir quels sont les articles poli­tiques que je lis et ce que je commente en est une autre. Suivant le pays où je suis, je ne souhaite pas faci­li­ter une éven­tuelle analyse au niveau de mon four­nis­seur d’ac­cès ou du gouver­ne­ment.

    Bref, je suis conscient que l’im­plé­men­ta­tion actuelle des navi­ga­teurs peuvent en théo­rie faci­li­ter le tracking à partir du serveur. Je ne suis pas certain que la tech­nique soit mise en œuvre telle­ment d’autres méthodes plus simples sont effi­caces. La confi­den­tia­lité que ça m’ap­porte compense large­ment ce surcoût.

    La démo­cra­ti­sa­tion de TLS est pour moi une vraie bonne nouvelle.

    I have no objec­tion to the IESG propo­sal to provide infor­ma­tion *also* via https. It would be better to provide content signa­tures and encou­rage mirro­ring

    Je ne nie pas que ça puisse être inté­res­sant, mais l’usage est pour moi tota­le­ment diffé­rent. En fait, à réflé­chir, l’es­sen­tiel des cas où j’ai besoin de garan­tir l’in­té­grité du message sont ceux où j’ai besoin d’une authen­ti­fi­ca­tion, donc où le chif­fre­ment de TLS est aussi néces­saire.

    Propo­ser HTTPS en alter­na­tive me semble aussi une fausse bonne idée. Sur mes deux derniers exemples, j’ai poten­tiel­le­ment non seule­ment besoin que le contenu de ma requête soit confi­den­tielle, mais aussi que mon besoin de confi­den­tia­lité le soit aussi. Que j’uti­lise d’un coup TLS me fera paraitre « louche », ce que juste­ment j’au­rais souhaité éviter. Je l’ai d’ailleurs vu récem­ment dans la presse lors de mises en accu­sa­tion : le fait que les suspects aient utilisé des commu­ni­ca­tions cryp­tées faisait partie des éléments à charge, même sans savoir ce qu’ils ont échangé. Dange­reux, au mieux.

    Plus prag­ma­tique : Il serait facile de bloquer HTTPS pour la plupart des sites publics comme Wiki­pe­dia, Doctis­simo, Twit­ter ou Le Monde, obli­geant les gens à se rabattre sur HTTP. Même les geeks les plus au fait des problèmes ont tendance à accep­ter de dégra­der la commu­ni­ca­tion en clair quand le chif­fre­ment ne passe pas. Rendre TLS option­nel revien­drait à le reti­rer là où juste­ment il est le plus néces­saire.

    Le fait que le web avance pas à pas vers un « TLS unique­ment » est un gros pas en avant pour la confi­den­tia­lité vis à vis de mon envi­ron­ne­ment direct.

    TLS everyw­here is great for large compa­nies with a finan­cial stake in Inter­net centra­li­za­tion. It is even better for those provi­ding iden­tity services and TLS-outsour­cing via CDNs. It’s a shame that the IETF has been abused in this way to promote a campaign that will effec­ti­vely end anony­mous access, under the guise of promo­ting privacy.

    Bref, il y a des choses à faire. Par exemple s’as­su­rer de réduire l’iden­ti­fi­ca­tion possible du navi­ga­teur entre deux requêtes ? (le navi­ga­teur utilise-t-il le même certi­fi­cat à chaque fois ? si c’est ça le problème, il y a certai­ne­ment moyen de faire des rota­tions régu­lières, et de ne pas parta­ger un même certi­fi­cat entre diffé­rentes desti­na­tions).

    Quant à mon anony­mat, il est bien plus vidé de son sens à cause de mon IP qu’à cause du tracking : si j’ai vrai­ment besoin, je peux utili­ser un navi­ga­teur ou un profil diffé­rent pour certaines acti­vi­tés, mais mon IP demande un effort plus impor­tant pour être chan­gée.

    L’autre ques­tion est de savoir auprès de qui est-ce que je cherche le plus à être anonyme, et ce que repré­sente mon iden­tité. Google saura proba­ble­ment me relier à mon email. Mon FAI et mon employeur savent me relier à mon iden­tité civile

    Bref, travaillons à amélio­rer les problèmes de tracking. Ils ne me semblent cepen­dant pas inhé­rents à la tech­no­lo­gie TLS (me trompe-je ?). Ne jetons en tout cas pas le bébé avec l’eau du bain. Surtout si nous n’avons rien à la place.

    Roy T. Fiel­ding nous rappelle le prin­ci­pal danger de TLS et de « SSL partout » : la centra­li­sa­tion des auto­ri­tés de certi­fi­ca­tion. Et par exten­sion du Web.

    C’est un vrai problème, mais qui commence à être dépassé. Le nombre d’au­to­ri­tés de mon Fire­fox se rapproche des 200. Si on consi­dère que ces auto­ri­tés délèguent elles-mêmes à de multiples sous-auto­ri­tés, qui parfois font elles aussi de même, on est loin d’une centra­li­sa­tion déran­geante pour la vie privée. En fait il y a tant de délé­ga­tion que le prin­cipe même d’au­to­rité de confiance devient assez théo­rique.

    Il reste un problème de confiance (auto­rité) et un problème commer­cial. DANE et letsen­crypt sont deux initia­tives qui me font croire qu’on va lais­ser ça derrière nous à moyen (pour letsen­crypt) ou long terme (pour DANE).

    Un client qui sait ne pas réuti­li­ser inuti­le­ment le même certi­fi­cat, qui véri­fie le serveur à l’aide de DANE les écueils de confi­den­tia­lité suivants seront surtout dans SNI, DNS et IP.